反連檢測
背景:黑客入侵完成後為了方便下次「關顧」一般都會留下後門程式,此時斷絕黑客的「後路」就顯得尤為重要了
目的:通過多種維度組成多種方案來幫助管理員盡可能快的發現惡意網路連線
注意:多種方案可疊加使用,方案與方案之間無互斥關係,多種方案混合使用可提高檢測率。如是多種方案疊加使用的話需對結果進行去重處理。
思路1(基於威脅情報檢測):
此種方法簡單有效,可以對網內主機出向流量進行歸類統計,唯一的缺點是好用的威脅情報平台需要付費方可使用。
1、映象網路出口流量
2、提取dns請求資料報中的請求網域名稱,送往威脅情報平台對其畫像。
3、提取目的ip位址,送往威脅情報平台對其畫像。以下列舉了威脅情報可對ip進行的一部分分類:
思路2(基於agent):
此種方法基於agent收集主機網路連線資訊(netstat),可以有效檢測將系統shell**出去的場景
1、部署agent
2、週期性收集主機網路連線資訊,如發現bash、sh、ksh、tcsh、csh、zsh等系統shell程式開啟偵聽埠或者已經建立tcp連線,則視為存在返連行為。(正常ssh登陸系統獲取到shell時,通過netstat可以看到與之建立連線的程式為sshd)
入侵感知系列之webshell檢測思路
webshell檢測 背景 在b s架構為主流的當下,web安全成了攻防領域的主戰場,其中上傳 webshell 是所有web 黑客入侵後一定會做的事,所以檢測 中是否有 webshell 程式是判斷被入侵強有力的證據。目的 通過多種維度組成多種方案來幫助管理員盡可能快的在大量檔案中檢索出websh...
入侵感知系列之弱口令檢測思路
弱口令檢測 背景 在安全方面弱口令問題算是技術含量最低的安全隱患了。但往往技術含量越低,被利用頻率也越高,而且造成的影響還不見得小。所以治理弱口令將成為安全體系建設中價效比最高的乙個環節。但是就是這樣乙個價效比高的環節想完全杜絕卻不是那麼容易,未來的系統可以通過註冊申請環節強制設定強密碼,但是針對過...
入侵檢測之基於主機入侵檢測系統
一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...